Passer au contenu principal
Français

Intégration de Sophos Firewall et des points d'accès avec Purple WiFi

Ce guide détaille l'intégration technique de Sophos Firewall (XG/XGS) et des points d'accès Sophos AP6/APX avec Purple WiFi. Il couvre la redirection vers un Captive Portal externe, la configuration de l'authentification et de la comptabilité RADIUS, la configuration du Walled Garden, le 802.1X pour le WiFi du personnel, et l'attribution dynamique de VLAN à l'aide de Sophos PPSK pour une ségrégation sécurisée des réseaux multi-locataires dans les secteurs de l'hôtellerie, du commerce de détail et des espaces publics.

📖 9 min de lecture📝 2,208 mots🔧 2 exemples concrets4 questions d'entraînement📚 9 définitions clés

Écouter ce guide

Voir la transcription du podcast
Bienvenue dans cette présentation de l'architecture Purple. Aujourd'hui, nous plongeons au cœur d'une intégration essentielle pour les réseaux d'entreprise : le déploiement de Purple WiFi aux côtés de l'infrastructure Sophos, plus précisément avec les points d'accès Sophos AP6 et APX et les pare-feu Sophos XG et XGS. Si vous êtes responsable informatique, architecte réseau ou CTO et que vous gérez un site — qu'il s'agisse d'une chaîne de magasins, d'un stade ou d'un hôpital —, cette session est conçue pour vous fournir le plan d'action concret permettant de faire fonctionner ces deux puissantes plateformes en parfaite synergie. Posons le contexte. Sophos est réputé pour sa posture de sécurité robuste. Les appliances Sophos Firewall offrent une inspection approfondie des paquets et une sécurité synchronisée. Cependant, lorsqu'il s'agit de WiFi invité, la sécurité ne suffit pas. Vous recherchez de la valeur commerciale. Vous voulez capturer des données démographiques, comprendre le comportement des visiteurs et générer un retour sur investissement marketing. C'est là que Purple intervient. En intégrant Purple en tant que Captive Portal externe, vous déléguez la gestion complexe de l'identité des invités, du consentement GDPR et des connexions via les réseaux sociaux au cloud RADIUS de Purple, tout en laissant le Sophos Firewall faire ce qu'il fait de mieux : sécuriser le périmètre. Alors, comment cela fonctionne-t-il concrètement en coulisses ? Passons à l'analyse technique approfondie. L'architecture repose sur les protocoles RADIUS standard et la redirection HTTP. Lorsqu'un utilisateur sur site s'associe à votre SSID WiFi invité ouvert diffusé par l'AP Sophos, le Sophos Firewall intercepte cette requête web initiale. Au lieu de proposer une page de portail basique stockée localement, le pare-feu redirige le client vers la splash page hébergée sur le cloud de Purple. Voici maintenant le concept clé : le Walled Garden (jardin de sécurité). Durant cette phase de pré-authentification, l'utilisateur n'a pas accès à Internet. Cependant, il doit pouvoir charger les éléments graphiques du portail et éventuellement accéder à Facebook ou Google pour s'authentifier. Le Walled Garden est une liste d'autorisation stricte configurée sur le Sophos Firewall qui permet le trafic vers ces domaines spécifiques. Une fois que l'utilisateur s'est authentifié, la plateforme de Purple renvoie un message RADIUS Access-Accept au Sophos Firewall. Le pare-feu bascule alors l'état de la session en "authentifié" et applique à l'utilisateur votre politique de pare-feu post-authentification. Arrêtons-nous plus en détail sur la configuration RADIUS, car c'est ici que la précision est de rigueur. Purple vous fournit deux ensembles d'identifiants RADIUS : un pour l'authentification sur le port 1812, et un pour l'accounting (comptabilité) sur le port 1813. Les deux doivent être configurés. Le serveur d'accounting n'est pas facultatif. C'est le mécanisme par lequel le Sophos Firewall transmet les données de session à Purple, notamment la durée, la bande passante consommée et les événements de fin de session. Sans données d'accounting précises, votre tableau de bord analytique Purple affichera des indicateurs de visite incomplets ou erronés. Définissez votre intervalle intermédiaire d'accounting sur 120 secondes. Cela offre un excellent équilibre entre visibilité en temps réel et charge réseau. Parlons maintenant d'un scénario récurrent dans les déploiements d'entreprise : le WiFi multi-locataire. Pensez à un espace de coworking, un immeuble résidentiel en location gérée ou une résidence étudiante. Vous avez plusieurs groupes distincts d'utilisateurs qui ont tous besoin d'un accès WiFi, mais ils doivent être complètement isolés les uns des autres au niveau du réseau. Diffuser un SSID distinct pour chaque locataire n'est pas viable. Cela crée une congestion des fréquences radio et représente un cauchemar opérationnel à gérer. La réponse réside dans les clés pré-partagées privées de Sophos, ou PPSK, combinées à l'attribution dynamique de VLAN. Voici comment cela fonctionne. Vous configurez un seul SSID sur vos points d'accès Sophos AP6. Vous attribuez ensuite un mot de passe unique à chaque locataire ou groupe d'utilisateurs. Lorsqu'un appareil se connecte et présente sa clé unique, le point d'accès Sophos authentifie cette clé via RADIUS. Le serveur RADIUS renvoie un attribut d'ID de VLAN spécifique dans le message Access-Accept. Le point d'accès étiquette dynamiquement le trafic de l'utilisateur avec cet ID de VLAN, le plaçant sur son segment de réseau dédié. C'est la mise en réseau basée sur l'identité en action. Un seul SSID, plusieurs réseaux isolés, et aucun encombrement des fréquences radio lié à des diffusions supplémentaires. Cette architecture présente également un avantage majeur en matière de conformité. Selon les exigences PCI DSS, les réseaux WiFi invités doivent être complètement isolés de tout segment de réseau qui traite les données des titulaires de cartes. En plaçant le SSID invité sur un VLAN dédié et en appliquant des règles de pare-feu strictes sur le Sophos Firewall pour bloquer toutes les destinations d'espace IP privé RFC 1918, vous répondez parfaitement à cette exigence. Purple, qui opère sur 80 000 sites actifs et a traité 440 millions de connexions en 2024, est certifié ISO 27001, conforme au GDPR et certifié Cyber Essentials, de sorte que la conformité s'étend également à la couche d'identité. Passons maintenant aux recommandations de mise en œuvre. Lors de cette configuration, vous devez prendre une décision cruciale concernant l'attribution des adresses IP : le mode NAT par rapport au mode Bridge. Si vous déployez une petite succursale de vente au détail avec peut-être cinquante à cent connexions d'invités simultanées, le mode NAT est parfaitement adéquat. Le point d'accès Sophos distribue des adresses DHCP aux invités à partir d'un sous-réseau interne dédié et les traduit à la sortie du trafic. C'est simple et cela nécessite une infrastructure supplémentaire minimale. Mais si vous déployez un environnement à haute densité, comme un hôtel de cinq cents chambres, un centre de conférence accueillant plusieurs événements simultanés ou un stade, vous devez utiliser le mode Bridge. En mode Bridge, le point d'accès Sophos redirige directement le trafic invité vers un VLAN dédié, permettant à vos serveurs DHCP d'entreprise principaux de gérer la charge. Cela évite que le point d'accès ou le pare-feu ne devienne un goulot d'étranglement DHCP lors des pics de connexion. Le mode Bridge garantit également que la plateforme Purple voit la véritable adresse IP du client, ce qui est essentiel pour des analyses et un dépannage précis. Parlons de la séquence de configuration étape par étape, car l'ordre est ici crucial. Commencez dans le portail Purple. Récupérez vos identifiants de serveur RADIUS : les adresses IP du serveur, les secrets partagés, l'URL du Captive Portal et l'URL de redirection. Ce sont les quatre informations critiques dont vous avez besoin avant de toucher à la configuration Sophos. Ensuite, rendez-vous sur Sophos Central ou sur votre interface locale de gestion du pare-feu. Définissez d'abord vos serveurs RADIUS, l'authentification sur le port 1812, la comptabilisation (accounting) sur le port 1813. Configurez ensuite votre Walled Garden dans les paramètres du Hotspot. Créez ensuite votre SSID invité, définissez le chiffrement sur Ouvert (Open), activez le Captive Portal et saisissez l'URL du portail Purple. Enfin, définissez vos règles de pare-feu post-authentification. Pour le Walled Garden spécifiquement, vous devez autoriser au minimum les domaines suivants : le domaine du portail Purple, généralement region1.purpleportal.net ; venuewifi.com ; et tous les domaines de connexion sociale que vos invités utiliseront, tels que facebook.com, accounts.google.com et leurs domaines CDN associés. Si vous utilisez Microsoft Entra ID ou Okta pour la fédération d'identité, ces domaines doivent également être inclus. Qu'en est-il des pièges ? Où les déploiements échouent-ils généralement ? Le problème numéro un, sans aucun doute, est un Walled Garden incomplet. Si un invité se connecte et obtient un écran vide ou un délai d'attente dépassé, cela signifie presque toujours que le pare-feu Sophos bloque l'accès aux fichiers CSS de Purple, aux ressources JavaScript ou aux API de connexion sociale avant l'authentification. Vous devez vous assurer que chaque domaine requis est explicitement autorisé dans cette politique de pré-authentification. Purple fournit une liste complète des domaines requis. Utilisez-la dans son intégralité. De plus, n'oubliez pas le DNS. Les clients non authentifiés doivent être autorisés à résoudre les requêtes DNS, sinon la redirection ne fonctionnera tout simplement pas. L'appareil doit résoudre le nom d'hôte du portail Purple avant même de pouvoir tenter de charger la page. Le deuxième piège le plus courant concerne les erreurs de certificat. Assurez-vous que votre pare-feu Sophos présente un certificat SSL valide et publiquement approuvé pour l'interface de redirection. Si vous utilisez le certificat auto-signé par défaut, les iPhones modernes et les appareils Android afficheront d'importants avertissements de sécurité, et vos invités abandonneront complètement la connexion. C'est un problème particulièrement aigu dans les environnements hôteliers où l'expérience client est primordiale. Le troisième piège concerne les erreurs de délai d'attente RADIUS. Si le portail se charge mais que l'authentification échoue systématiquement, vérifiez que les secrets partagés correspondent exactement entre votre configuration Sophos et le portail Purple. Une différence d'un seul caractère entraînera l'échec silencieux de toutes les tentatives d'authentification. Vérifiez également qu'aucun pare-feu intermédiaire ne bloque les ports UDP 1812 et 1813 entre votre infrastructure Sophos et les serveurs RADIUS cloud de Purple. Terminons par une session rapide de questions-réponses basée sur les questions les plus fréquemment posées par nos clients. Question une : l'utilisation de Purple contourne-t-elle les politiques de sécurité de mon Sophos Firewall ? Absolument pas. Purple gère l'authentification et la capture d'identité. Une fois authentifié, tout le trafic invité passe par la politique post-authentification de votre Sophos Firewall. C'est précisément là que vous appliquez le filtrage web, bloquez le trafic peer-to-peer et limitez la bande passante. Voyez les choses ainsi : la pré-authentification est permissive pour permettre la connexion ; la post-authentification est restrictive pour protéger le réseau. Question deux : dois-je déployer des serveurs RADIUS locaux ? Non. Purple fournit un service RADIUS-as-a-Service. Vous configurez les AP Sophos pour qu'ils pointent directement vers les adresses IP du RADIUS cloud de Purple. Il n'est pas nécessaire de déployer et de maintenir FreeRADIUS ou Windows NPS pour le réseau invité. Question trois : puis-je utiliser Purple à la fois avec les AP Sophos AP6 et l'ancienne série APX ? Oui. L'approche d'intégration est cohérente sur les deux générations de matériel. Notez cependant que Sophos a annoncé une date de fin de vie pour la série APX fixée au 31 décembre 2027. Si vous planifiez un nouveau déploiement, investissez dans la série AP6, qui prend en charge le Wi-Fi 6 et le Wi-Fi 6E. Question quatre : qu'en est-il de la conformité GDPR ? Purple capture un consentement explicite au niveau du portail, en présentant vos conditions générales et vos avis de traitement des données avant l'authentification. Ces données de consentement sont stockées au sein de la plateforme Purple et sont auditables. Le rôle du Sophos Firewall est purement l'application des règles réseau. Pour résumer les points clés de la présentation d'aujourd'hui. Premièrement : séparez absolument vos SSIDs personnel et invité. Le personnel sur du 802.1X avec WPA2-Enterprise. Les invités sur Purple avec un Captive Portal externe. Deuxièmement : configurez méticuleusement votre Walled Garden. C'est le point de défaillance le plus courant et l'élément de configuration de pré-authentification le plus important. Troisièmement : utilisez le mode Bridge pour tout déploiement à haute densité afin d'éviter les goulots d'étranglement DHCP et de garantir une visibilité précise de l'adresse IP du client. Quatrièmement : configurez à la fois les serveurs d'authentification et de comptabilité (accounting) RADIUS. La comptabilité n'est pas facultative si vous souhaitez obtenir des analyses significatives. Cinquièmement : exploitez Sophos PPSK pour les environnements multi-locataires afin de permettre un réseau basé sur l'identité avec attribution dynamique de VLAN. Un seul SSID, plusieurs réseaux isolés. Sixièmement : appliquez strictement les politiques de sécurité Sophos après l'authentification. Le filtrage web, le contrôle des applications et la limitation de la bande passante doivent tous être appliqués dans la politique de pare-feu post-authentification. En exécutant correctement cette intégration, vous transformez le WiFi invité d'un centre de coûts en un actif conforme, sécurisé et générateur de revenus. L'association de la profondeur de sécurité de Sophos et de l'intelligence marketing de Purple est véritablement puissante pour tout exploitant de site qui souhaite prendre au sérieux l'expérience de ses invités et sa stratégie de données. Merci d'avoir écouté ce briefing sur l'architecture Purple. Si vous souhaitez discuter de vos besoins de déploiement spécifiques, visitez purple.ai pour vous entretenir avec l'équipe des solutions.

header_image.png

執行摘要

如果您運行 Sophos 基礎架構並需要部署可收集第一方數據的 Guest WiFi ,本指南將為您提供確切的設定步驟。Purple 與 Sophos Firewall(XG 和 XGS 系列)以及 Sophos AP6/APX 無線基地台整合,作為外部 Captive Portal,將訪客身分管理、GDPR 同意書收集和社群登入處理卸載到 Purple 的雲端 RADIUS。您的 Sophos Firewall 將繼續對所有流量執行深層封包檢測與統一威脅管理。最終結果:一個符合規範且細分的網路,訪客透過品牌化的 Purple 網頁驗證,員工透過 WPA2-Enterprise802.1X 連線,而多租戶環境則使用 Sophos 私有預共用金鑰 (PPSK) 進行動態 VLAN 分配。Purple 在全球 80,000 多個實體場域運行,並在 2024 年處理了 4.4 億次登入(Purple 內部數據,2024 年)。它已獲得 ISO 27001 認證、符合 GDPR 規範,並獲得 Cyber Essentials 認證。

技術深度解析

重新導向的運作原理

此整合使用標準 RADIUS 協定和 HTTP 重新導向。當場域使用者在 Sophos AP6 或 APX 無線基地台上與您的開放式 Guest WiFi SSID 建立關聯時,Sophos Firewall 會攔截該未驗證裝置的第一個 HTTP 請求。防火牆不會提供本地儲存的登入頁面,而是發出 302 重新導向到 Purple 的雲端代管登入網頁 URL — 通常格式為 https://region1.purpleportal.net/access/

在此預先驗證階段,裝置處於 Walled Garden(圍牆花園)內:這是一個未驗證裝置可以存取的嚴格網域白名單。此白名單必須包含 Purple 的入口網站資源、任何社群登入提供商(Facebook、Google、LinkedIn)以及您使用的任何身分識別同盟端點,例如 Microsoft Entra ID 或 Okta。一旦使用者在 Purple 登入網頁上完成驗證,Purple 的雲端 RADIUS 就會向 Sophos Firewall 發送 RADIUS Access-Accept 訊息。防火牆會將工作階段狀態更新為已驗證,並套用您驗證後的安全性原則。

RADIUS 驗證與帳務

Purple 提供 RADIUS 即服務(RADIUS-as-a-Service)。您不需要為訪客網路部署 FreeRADIUS、Windows NPS 或任何本地 RADIUS 基礎架構。只需將 Sophos Firewall 設定為直接指向 Purple 的雲端 RADIUS IP 位址即可。

需要兩種 RADIUS 功能:

功能 協定 連接埠 用途
驗證 UDP 1812 驗證訪客憑證並傳回 Access-Accept 或 Access-Reject
帳務 UDP 1813 向 Purple 回報工作階段開始、過渡更新和工作階段結束

帳務處理並非選配。它是 Sophos Firewall 用來將工作階段持續時間、消耗的頻寬以及工作階段終止事件回報給 Purple 的機制。若沒有帳務資料,您的 WiFi 分析 儀表板將會顯示不完整的訪客指標。請將帳務中期時間間隔設定為 120 秒,以在即時可見性與網路負載之間取得良好平衡。

Sophos 設定與 Purple 傳送門之間的 RADIUS 共用密鑰必須完全一致。單一字元的差異都會導致無聲的驗證失敗。

Walled Garden 設定

Walled Garden 是最重要的前置驗證設定元素,也是最常見的部署失敗原因。請在 Sophos Firewall 的 無線 > 熱點設定 (Wireless > Hotspot Settings) 下進行設定。

您必須至少允許以下網域:

類別 允許的網域
Purple 核心 region1.purpleportal.net, venuewifi.com, cloudfront.net
付款(如適用) stripe.com
天氣小工具(如使用) openweathermap.org
Facebook 登入 facebook.com, fbcdn.net, connect.facebook.net, akamaihd.net
Google 登入 accounts.google.com, googleapis.com, gstatic.com
LinkedIn 登入 linkedin.com, licdn.net, licdn.com
Microsoft Entra ID login.microsoftonline.com, login.microsoft.com

務必允許未經驗證用戶端的 DNS 解析(UDP 53 埠)。若沒有 DNS,裝置將無法解析 Purple 傳送門的主機名稱,重新導向在開始前就會失敗。

員工 WiFi 的 802.1X

針對員工 WiFi,請搭配 WPA2-Enterprise 或 WPA3-Enterprise 使用 802.1X(IEEE 802.1X 基於連接埠的網路存取控制)。設定 Sophos AP 以針對您的內部 RADIUS 伺服器或雲端身分識別提供者(例如 Microsoft Entra ID)使用 EAP-TLS(基於憑證)或 PEAP-MSCHAPv2(使用者名稱/密碼)。

RADIUS 伺服器會傳回 VLAN 分配屬性,以將已驗證的員工裝置分配到正確的內部 VLAN。這與下方針對 PPSK 所述的動態 VLAN 機制相同,並套用於企業驗證。

請將員工 WiFi 的 SSID 與 VLAN,與 Guest WiFi 的 SSID 與 VLAN 完全隔離。切勿將訪客流量橋接到管理或企業子網。如果任何網路區段處理持卡人資料,此隔離是 PCI DSS 的規範要求。

適用於多租戶環境的 Sophos PPSK 與動態 VLAN 分配

在多租戶環境(例如共享工作空間、租賃型住宅大樓、學生宿舍或零售特許櫃位)中,您需要在網路層級隔離不同的使用者群組,而無需為每個租戶廣播個別的 SSID。廣播多個 SSID 會增加無線電頻率開銷並使管理複雜化。

Sophos AP6 無線基地台支援 PPSK (Private Pre-Shared Key),也稱為 Identity PSK 或每使用者 PSK。PPSK 允許單一 SSID 接受多個唯一的密碼,每個密碼均透過 RADIUS 屬性對應到特定的 VLAN。

動態 VLAN 分配流程如下:

  1. 住戶或成員連線到該單一共享 SSID 並輸入其唯一的 PPSK。
  2. Sophos AP 向配置的 RADIUS 伺服器發送 RADIUS Access-Request,其中包含 PPSK 作為憑證。
  3. RADIUS 伺服器驗證 PPSK 並傳回包含以下 VLAN 屬性的 Access-Accept:
    • Tunnel-Type = VLAN (值 13)
    • Tunnel-Medium-Type = IEEE-802 (值 6)
    • Tunnel-Private-Group-ID = `` (例如 100)
  4. Sophos AP 使用傳回的 VLAN ID 標記該裝置的流量,並將其置於正確的隔離網路區段中。

這就是基於身分識別的網路運作方式 (Identity-Based Networking):單一 SSID,多個隔離 VLAN,由使用者的唯一憑證驅動。

ppsk_vlan_diagram.png

architecture_overview.png

實作指南

步驟 1:取得 Purple 憑證

登入 Purple 入口網站。導覽至 Management > Locations > [您的場所] > Hardware > Add Hardware。選擇 Sophos 作為硬體類型。入口網站將顯示:

  • 主要與次要 RADIUS 伺服器 IP 位址
  • RADIUS 共用金鑰 (Shared Secret)
  • Captive Portal URL (例如 https://region1.purpleportal.net/access/)
  • 重新導向 URL (例如 https://region1.purpleportal.net/access/?res=success)
  • 完整的 Walled Garden 網域名單

請先記下這四個值再繼續。

步驟 2:在 Sophos Firewall 上設定 RADIUS 伺服器

導覽至 Sophos Firewall 上的 Authentication > Servers (或針對 AP 管理的配置,導覽至 Sophos Central > Wireless > SSIDs > [SSID] > Advanced Settings)。

  1. 按一下 Add 以建立新的 RADIUS 伺服器項目。
  2. Server IP 設定為主要的 Purple RADIUS IP 位址。
  3. Authentication port 設定為 1812
  4. Accounting port 設定為 1813
  5. 輸入來自 Purple 入口網站的 Shared secret
  6. 對次要 Purple RADIUS 伺服器重複此步驟。

對於透過 Sophos Central 管理的 Sophos AP6,請在 SSID 的 Advanced Settings > Backend authentication 區段下設定 RADIUS 伺服器。

步驟 3:設定 Walled Garden

導覽至 Sophos Firewall 上的 Wireless > Hotspot Settings

  1. Walled garden 下,按一下 Add new item
  2. 新增 Purple 提供之清單中的每個網域。
  3. 確保未驗證的用戶端可透過驗證前防火牆規則允許 DNS (UDP 連接埠 53)。
  4. 按一下 Apply

步驟 4:建立訪客 SSID

導覽至 Wireless > Wireless Settings > SSIDs (或 Sophos Central > Wireless > SSIDs)。

  1. 按一下 Add SSID
  2. Encryption mode 設定為 Open (無預共用金鑰)。
  3. Advanced Settings > Captive portal 下,啟用 captive portal。
  4. 選擇 Backend authentication 作為驗證類型。
  5. 輸入 Purple RADIUS 伺服器 IP、連接埠 1812 與共用密鑰。
  6. Redirect URL 設定為 Purple splash page URL。
  7. 將 SSID 指派給專用的訪客 VLAN (例如:VLAN 100)。
  8. 啟用 Client isolation 以防止訪客之間的流量互通。

步驟 5:建立驗證後防火牆規則

導覽至 Rules and policies > Firewall rules

  1. 建立一條允許從訪客 VLAN 到 WAN 區域之流量的規則。
  2. 套用網頁篩選以封鎖惡意類別。
  3. 套用流量整形以限制每位使用者的頻寬 (建議訪客網路設定為:下載 10 Mbps,上傳 5 Mbps)。
  4. 明確封鎖所有從訪客 VLAN 到任何包含 POS 系統、PMS 或企業資源之內部 VLAN 的流量。

步驟 6:針對多租戶環境設定 PPSK (選用)

  1. 在 Sophos Central 中,建立一個 WPA2-Personal SSID。
  2. 在 SSID 的進階設定下啟用 RADIUS VLAN assignment
  3. 設定 RADIUS 伺服器以接受 PPSK 憑證,並根據使用者群組傳回對應的 VLAN 屬性。
  4. 透過 Purple 入口網站或您的 RADIUS 管理介面,發放唯一的 PPSK 給每個租戶群組。

最佳實踐

在 Layer 2 與 Layer 3 進行流量隔離。 務必將訪客 WiFi 置於專用 VLAN 上。建立明確的防火牆規則,以封鎖所有從訪客 VLAN 到內部網路區段上 RFC 1918 位址空間的流量。這符合 PCI DSS 網路分割要求,並可在訪客裝置受侵害時防止橫向移動。

針對高密度部署使用橋接模式。 在有超過 200 個同時訪客連線的環境中 (例如飯店、體育館、會議中心),請將訪客 SSID 設定為橋接模式。這會將流量導入由企業級 DHCP 伺服器處理的 VLAN,防止 Sophos AP 或防火牆成為 DHCP 效能瓶頸。一間擁有 500 間客房、入住率為 70% 且每位房客有兩台裝置的飯店,會同時產生大約 700 個 DHCP 租約。企業級 DHCP 可以處理此類需求;AP 內建的 DHCP 則無法。

使用受公開信任的 SSL 憑證。 設定 Sophos 防火牆,為重新導向介面提供由公開 CA 簽署的憑證。自簽章憑證會在 iOS 與 Android 上產生瀏覽器安全性警告,進而提高入口網站流失率。這在 旅宿業 環境中尤為重要,因為訪客體驗會直接影響評價分數。 設定 RADIUS 驗證和記帳。 驗證(連接埠 1812)用於授權存取。記帳(連接埠 1813)用於追蹤使用情況。兩者皆為 Purple 的分析功能正常運作所必需。記帳資料可驅動 Purple 儀表板中的工作階段持續時間指標、頻寬報告以及重複訪客識別。

在正式上線前規劃您的 Walled Garden(圍牆花園)。 在部署到生產環境之前,請至少在一部 iOS 裝置和一部 Android 裝置上測試入口網站。這兩個平台具有不同的 Captive Portal 偵測機制,且在 Walled Garden 設定不完整時可能會有不同的行為。在 pre-authentication 階段,使用 Sophos 防火牆上的封包擷取功能來識別任何遭封鎖的網域。

在驗證後套用 Sophos Synchronized Security。 Sophos AP6 無線基地台支援 Synchronized Security,該技術與 Sophos Endpoint Protection 整合。如果偵測到訪客裝置受危害(紅色 Security Heartbeat 狀態),AP 可以自動將該裝置限制在 Walled Garden 內,無需人工干預即可將其與網際網路隔離。對於 醫療保健零售 環境而言,這是一項極具意義的安全控制措施。

如需更廣泛的企業 WiFi 安全背景資訊,請參閱我們的指南: 企業 WiFi 安全:2026 年完整指南

疑難排解與風險緩釋

問題症狀:入口網站頁面無法載入(空白畫面或逾時) 原因:Walled Garden 設定不完整。Sophos 防火牆在驗證前封鎖了對 Purple 的 CSS/JS 資產或社群登入 API 的存取。 解決方法:在 Sophos 防火牆上針對訪客 VLAN 啟用封包擷取。識別遭封鎖的網域。將其新增至 Walled Garden。確認在驗證前已允許 DNS 解析。

問題症狀:入口網站可載入,但驗證始終失敗 原因:RADIUS 共享金鑰不比對,或 UDP 連接埠 1812/1813 遭到封鎖。 解決方法:逐字驗證 Sophos 設定和 Purple 入口網站中的共享金鑰。在 Sophos CLI 中使用 nmap -sU -p 1812,1813 來確認 UDP 可達性。

問題症狀:分析資料顯示工作階段持續時間為零且無頻寬資料 原因:未設定 RADIUS 記帳或記帳遭到封鎖。 解決方法:驗證記帳伺服器是否已在連接埠 1813 上配置正確的共享金鑰。檢查是否有任何中間 ACL 封鎖了 UDP 1813 的輸出。

問題症狀:訪客裝置上出現憑證警告 原因:Sophos 防火牆在重定向介面上使用自我簽署憑證。 解決方法:將由公開 CA(Let's Encrypt、DigiCert 或類似機構)簽署的憑證上傳至 Sophos 防火牆,並在 Wireless > Hotspot Settings 下將其指派為登入頁面憑證。

問題症狀:PPSK 使用者進入錯誤的 VLAN 原因:RADIUS VLAN 屬性設定不正確,或 Sophos AP 不接受動態 VLAN 指派。 修正:驗證 RADIUS 伺服器傳回 Tunnel-Type = 13Tunnel-Medium-Type = 6Tunnel-Private-Group-ID = 。確認 Sophos Central 中 SSID 的 RADIUS VLAN 分配已啟用。

投資報酬率(ROI)與業務影響

在 Sophos 基礎架構上部署 Purple,可將訪客 WiFi 從公用事業成本轉化為第一方數據資產。其商業案例顯而易見。

一家擁有 200 間客房、入住率為 70% 且平均停留 1.8 晚的飯店,每年透過 Purple 的自主選擇加入頁面將產生約 50,000 個已驗證的訪客個人資料。每份資料均包含姓名、電子郵件地址、人口統計數據及造訪記錄。這些數據可直接匯入電子郵件行銷活動,顯著提升直接訂房量與餐飲營收。

針對 零售 環境,Purple 的分析功能可識別停留時間、重複造訪頻率以及客流高峰期。擁有 50 個據點的零售連鎖店可以使用這些數據來優化人員配置、調整促銷時機,並衡量店內活動對造訪頻率的影響。

針對公共部門和 交通運輸 營運商,Purple 提供可審計的 GDPR 同意記錄,並支援關鍵服務營運商符合英國《網路與資訊系統(NIS)法規》。

Purple 達 99.999% 的可用性 SLA 可確保訪客驗證服務不會成為您網路的單一故障點。雲端 RADIUS 架構意味著無需維護、修補或更換地端驗證伺服器。

如需相關整合指南,請參閱 Alta Labs 與 Purple WiFi 整合:設定與 Captive Portal 組態 指南。

Définitions clés

Captive Portal

Une page web qui intercepte la requête HTTP initiale d'un utilisateur et nécessite une interaction (authentification, consentement ou paiement) avant d'autoriser l'accès à Internet.

L'interface principale pour le WiFi invité. Purple héberge le captive portal dans le cloud ; le pare-feu Sophos y redirige les clients non authentifiés.

Walled Garden

Une liste d'autorisation stricte de domaines et d'adresses IP auxquels les appareils non authentifiés peuvent accéder avant de finaliser l'authentification sur le portail.

Doit inclure les domaines du portail de Purple, les fournisseurs de connexion sociale et tous les points de terminaison de fédération d'identité. Un Walled Garden incomplet est la cause la plus fréquente des échecs de chargement du portail.

RADIUS (Remote Authentication Dial-In User Service)

Un protocole réseau qui fournit une authentification, une autorisation et une comptabilisation centralisées pour les utilisateurs se connectant à un réseau. Utilise le port UDP 1812 pour l'authentification et 1813 pour la comptabilisation.

Purple fournit le RADIUS-as-a-Service. Le pare-feu Sophos et les points d'accès communiquent avec le RADIUS cloud de Purple pour authentifier les invités et transmettre les données de session.

Comptabilisation RADIUS

Le composant de RADIUS qui suit les indicateurs d'utilisation du réseau, y compris l'heure de début de la session, la durée, les octets transférés et le motif de fin de session.

Essentiel pour le WiFi Analytics de Purple. Sans données de comptabilisation sur le port 1813, les indicateurs de durée de session et de bande passante ne sont pas disponibles dans le tableau de bord Purple.

PPSK (Private Pre-Shared Key)

Une fonctionnalité de sécurité WiFi qui permet à un seul SSID d'accepter plusieurs phrases de passe uniques, chacune étant généralement associée à un VLAN ou à une politique spécifique via RADIUS.

Utilisé dans les déploiements WiFi multi-locataires pour assurer l'isolation du réseau par utilisateur ou par groupe sans diffuser plusieurs SSID. Le point d'accès Sophos AP6 prend en charge le PPSK avec attribution dynamique de VLAN.

Attribution dynamique de VLAN

Un processus par lequel le serveur RADIUS indique au point d'accès de placer un utilisateur authentifié sur un VLAN spécifique en renvoyant les attributs Tunnel-Type, Tunnel-Medium-Type et Tunnel-Private-Group-ID dans le message Access-Accept.

Permet de créer des réseaux basés sur l'identité. Les utilisateurs sont placés dans le bon segment de réseau en fonction de leurs identifiants, quel que soit le point d'accès physique auquel ils se connectent.

802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports. Fournit un cadre d'authentification pour les appareils se connectant à un réseau local (LAN) ou sans fil (WLAN), nécessitant un suppliant (client), un authentificateur (point d'accès ou commutateur) et un serveur d'authentification (RADIUS).

La norme d'entreprise pour le WiFi du personnel. Le Sophos AP6 prend en charge le 802.1X avec WPA2-Enterprise et WPA3-Enterprise, en utilisant EAP-TLS ou PEAP-MSCHAPv2.

Mode pont

Une configuration réseau dans laquelle le point d'accès transmet directement le trafic du client sans fil vers le réseau local câblé sous forme de trames VLAN balisées, sans effectuer de NAT ou de DHCP local.

Recommandé pour les déploiements à haute densité. Délègue le DHCP aux serveurs de l'entreprise et garantit que Purple reçoit la véritable adresse IP du client pour des analyses précises.

Données de première main

Informations collectées directement auprès des utilisateurs via vos propres canaux, qui vous appartiennent et ne sont ni partagées avec des tiers ni issues de sources tierces.

La valeur commerciale principale de Purple Guest WiFi. Capturées grâce à des consentements explicites sur le captive portal, ces données sont conformes au GDPR et indépendantes des cookies tiers.

Exemples concrets

Un hôtel de 300 chambres a déployé des points d'accès Sophos AP6 gérés via Sophos Central. Ils ont besoin que les clients s'authentifient via une page de démarrage personnalisée Purple et exigent que le réseau invité soit complètement isolé du système de gestion de propriété (PMS) sur le VLAN 20 afin de maintenir la conformité PCI DSS. L'hôtel prévoit jusqu'à 600 connexions d'invités simultanées pendant les périodes de pointe.

  1. Dans Sophos Central, créez un SSID invité dédié nommé « Hotel Guest WiFi » avec un chiffrement ouvert. 2. Attribuez le SSID au VLAN 100 en mode Bridge pour gérer la charge DHCP de 600 appareils via le serveur DHCP du réseau central. 3. Activez le Captive Portal sous les paramètres avancés et sélectionnez l'authentification Backend. 4. Saisissez l'adresse IP du serveur RADIUS Purple sur le port 1812 et le secret partagé du portail Purple. 5. Configurez le Walled Garden pour autoriser region1.purpleportal.net, venuewifi.com et tous les domaines de connexion sociale. 6. Sur le Sophos Firewall, créez une règle de pare-feu autorisant le VLAN 100 vers la zone WAN avec filtrage web appliqué. 7. Créez une règle de refus explicite (DENY) bloquant tout le trafic du VLAN 100 vers le VLAN 20 (réseau PMS). 8. Configurez la comptabilité RADIUS sur le port 1813 avec un intervalle intermédiaire de 120 secondes. 9. Téléchargez un certificat SSL publiquement approuvé sur le Sophos Firewall pour l'interface de redirection. 10. Testez sur iOS et Android avant la mise en service.
Commentaire de l'examinateur : Le mode Bridge est essentiel ici. Avec 600 connexions simultanées, le DHCP embarqué du point d'accès serait saturé. La règle de refus explicite du VLAN 100 vers le VLAN 20 répond aux exigences de segmentation réseau de la norme PCI DSS. Le certificat publiquement approuvé empêche iOS 14+ et Android 10+ d'afficher des avertissements de sécurité qui augmenteraient l'abandon du portail. La configuration de la comptabilité est indispensable pour le bon fonctionnement des analyses de Purple.

Un opérateur d'espace de coworking gère 15 entreprises locataires réparties sur trois étages. Chaque entreprise a besoin de son propre segment de réseau isolé. Ils diffusent actuellement 15 SSIDs distincts, ce qui provoque une congestion RF importante. Ils souhaitent se regrouper sur un seul SSID en utilisant des points d'accès Sophos AP6 tout en maintenant une isolation stricte de couche 2 entre les locataires.

  1. Attribuez un VLAN unique à chaque entreprise locataire (par exemple, les VLANs 200-214). 2. Dans Sophos Central, créez un seul SSID WPA2-Personal nommé « CoWork WiFi ». 3. Activez l'attribution de VLAN RADIUS sur le SSID. 4. Configurez le serveur RADIUS (le RADIUS cloud de Purple ou un annuaire intégré) pour stocker une clé PPSK unique par locataire et renvoyer les attributs VLAN appropriés lors de l'authentification. 5. Distribuez à chaque entreprise locataire sa clé PPSK unique via le portail Purple. 6. Sur le Sophos Firewall, configurez des règles de pare-feu inter-VLAN pour bloquer tout le trafic entre les VLANs des locataires. Autorisez chaque VLAN à accéder uniquement à Internet. 7. Pour les locataires nécessitant des services partagés (par exemple, une imprimante partagée), créez des règles d'autorisation explicites uniquement pour ces ressources spécifiques.
Commentaire de l'examinateur : La consolidation de 15 SSIDs en un seul élimine la surcharge RF de 15 trames de balise (beacon frames) par point d'accès et par seconde. Le PPSK avec attribution dynamique de VLAN offre la même isolation que des SSIDs distincts au niveau de la couche réseau. Le risque principal réside dans la disponibilité du serveur RADIUS : si le serveur RADIUS est injoignable, aucun locataire ne peut se connecter. Déployez un serveur RADIUS Purple secondaire et configurez-le comme solution de secours dans Sophos Central pour atténuer ce risque.

Questions d'entraînement

Q1. Une chaîne de magasins a déployé des points d'accès Sophos AP6 dans 50 boutiques. Les clients signalent que la page de connexion Purple met plus de 30 secondes à se charger ou expire complètement. L'équipe informatique a confirmé que l'authentification RADIUS est correctement configurée. Quelle est la cause la plus probable et comment la résoudre ?

Conseil : Considérez ce qui se passe avant que l'utilisateur n'atteigne l'étape d'authentification.

Voir la réponse type

Le Walled Garden est incomplet. Le pare-feu Sophos bloque l'accès aux ressources CSS et JavaScript de Purple, ou aux domaines CDN de connexion sociale, avant l'authentification. Activez une capture de paquets sur le pare-feu Sophos pour le VLAN invité et filtrez le trafic bloqué provenant de clients non authentifiés. Identifiez les domaines bloqués et ajoutez-les au Walled Garden sous Wireless > Hotspot Settings. Vérifiez également que le DNS (port UDP 53) est autorisé avant l'authentification. Sans résolution DNS, l'appareil ne peut pas résoudre le nom d'hôte du Captive Portal Purple et la redirection échoue immédiatement.

Q2. Vous concevez un déploiement WiFi invité pour un stade de 5 000 places à l'aide de points d'accès Sophos AP6. Le site prévoit 4 000 connexions simultanées de supporters pendant les événements. Devez-vous configurer le SSID invité en mode NAT ou en mode Bridge ? Justifiez votre décision.

Conseil : Considérez la charge DHCP générée par 4 000 connexions simultanées.

Voir la réponse type

Mode Bridge. Avec 4 000 connexions simultanées, le mode NAT surchargerait le serveur DHCP intégré des AP Sophos ou le pare-feu. En mode Bridge, les AP redirigent directement le trafic invité vers un VLAN dédié, et les serveurs DHCP d'entreprise gèrent l'attribution des adresses IP. Cela évite l'épuisement du DHCP et garantit que la plateforme Purple reçoit la véritable adresse IP du client pour des analyses précises. Le mode Bridge offre également un débit plus élevé que le mode NAT, ce qui est important pour un environnement événementiel à haute densité. Configurez une plage DHCP sur le réseau central avec suffisamment d'adresses pour la charge de pointe attendue, plus une marge de sécurité de 20 %.

Q3. Votre tableau de bord Purple Analytics affiche le bon nombre de connexions, mais toutes les durées de session sont signalées comme étant de zéro minute et l'utilisation de la bande passante n'est pas suivie. Le portail invité fonctionne correctement et les invités peuvent naviguer sur Internet. Quel élément de configuration est manquant ?

Conseil : L'authentification accorde l'accès. Qu'est-ce qui suit l'utilisation une fois l'accès accordé ?

Voir la réponse type

La comptabilité RADIUS (accounting) n'est pas configurée ou est bloquée. L'authentification sur le port 1812 accorde l'accès à Internet, mais la comptabilité sur le port 1813 est le mécanisme qui renvoie la durée de la session et les données de bande passante à Purple. Vérifiez la configuration du pare-feu Sophos pour confirmer que le serveur de comptabilité est configuré sur l'IP RADIUS de Purple sur le port 1813 avec le secret partagé correct. Vérifiez ensuite que le port UDP 1813 n'est pas bloqué par une règle ACL ou de pare-feu intermédiaire entre le pare-feu Sophos et les serveurs RADIUS cloud de Purple. Utilisez une capture de paquets pour confirmer que les paquets de comptabilité quittent le pare-feu Sophos et reçoivent des réponses.

Q4. Un opérateur d'espace de coworking souhaite utiliser Sophos PPSK pour attribuer à chacune de ses 20 entreprises locataires un segment de réseau isolé. Après la configuration, tous les utilisateurs PPSK se connectent avec succès mais se retrouvent tous sur le même VLAN, quel que soit le PPSK qu'ils utilisent. Quelle est la cause la plus probable ?

Conseil : Pensez à ce que le serveur RADIUS doit renvoyer et à ce que l'AP doit accepter.

Voir la réponse type

Il y a deux causes probables. Premièrement, le serveur RADIUS ne renvoie pas les attributs VLAN corrects dans le message Access-Accept. Vérifiez que le serveur RADIUS renvoie Tunnel-Type = 13 (VLAN), Tunnel-Medium-Type = 6 (IEEE-802) et Tunnel-Private-Group-ID = l'ID VLAN correct pour chaque PPSK. Deuxièmement, l'attribution de VLAN RADIUS n'est peut-être pas activée sur le SSID dans Sophos Central. Accédez aux paramètres avancés du SSID et confirmez que l'attribution de VLAN RADIUS est activée. Utilisez un journal de débogage RADIUS ou une capture de paquets pour inspecter les messages Access-Accept et confirmer que les attributs VLAN sont présents et correctement formatés.

Continuer la lecture de cette série

Intégration de Cisco WLC et Catalyst avec Purple WiFi : Guide étape par étape pour l'accès invité

Ce guide de référence détaille l'intégration étape par étape des contrôleurs Cisco Catalyst 9800 WLC avec Purple WiFi. Il couvre l'authentification web externe (EWA) pour les portails captifs invités, l'802.1X EAP-TLS pour l'accès sécurisé du personnel, et Cisco iPSK pour la segmentation dynamique de VLAN multi-locataire.

Lire le guide →

Intégration de CommScope Ruckus avec Purple WiFi : Guide d'installation et de configuration

Ce guide de référence technique fournit un manuel de configuration faisant autorité pour l'intégration des architectures CommScope Ruckus avec Purple WiFi. Il détaille les déploiements étape par étape pour les Captive Portals de WiFi invité, le WiFi personnel sécurisé via 802.1X et l'isolation réseau multi-locataire à l'aide de Ruckus Dynamic PSK.

Lire le guide →

Intégration des points d'accès Allied Telesis avec Purple WiFi

Ce guide fournit un manuel de configuration complet pour l'intégration des points d'accès Allied Telesis de la série TQ avec Purple WiFi. Il traite de la redirection vers le Captive Portal externe, de l'authentification RADIUS 802.1X et de l'orientation VLAN dynamique à l'aide de clés prépartagées privées (PPSK) pour des déploiements multi-locataires sécurisés.

Lire le guide →